Estendi, accelera e modernizza la protezione
delle app in cloud e delle API con le soluzioni WAAP
Oggi le aziende devono dare priorità alla digital experience di clienti e dipendenti, con la conseguente necessità di trasformare e modernizzare le loro applicazioni. Se da un lato ciò contribuisce a offrire esperienze digitali migliori, dall’altro comporta delle criticità nel mantenere un’efficace sicurezza delle applicazioni.
Modernizzare le applicazioni può mettere a dura prova l’efficacia della sicurezza informatica aziendale
Modernizzare le applicazioni spesso comporta l’utilizzo di nuovi microservizi nonché l’espansione verso il cloud e/o l’edge. Con queste evoluzioni si vede spesso anche l’introduzione di API e di comunicazioni basate su API, poiché consentono una rapida innovazione. Tuttavia, questi elementi di trasformazione possono anche mettere a dura prova le risorse, in particolare i team di sicurezza, ed esercitare pressione sui componenti di sicurezza delle app esistenti. La crescente complessità che comporta l’implementazione delle app in un contesto di modernizzazione può generare vari scenari in cui viene messa a dura prova l’efficacia complessiva della sicurezza:
- Superficie di attacco più estesa – La modernizzazione può esporre nuove falle di sicurezza e nuovi punti di accesso che i criminali informatici possono sfruttare. Occorre pertanto adottare un set di strumenti di sicurezza più ampio, che preveda delle funzioni specifiche per la protezione delle applicazioni (ad esempio, rilevamento e sicurezza delle API, controlli per bot e automazione, DoS di livello 7, ecc.)
- Visibilità limitata – Poiché i blind spot della sicurezza si moltiplicano a causa dell’espansione del portafoglio di applicazioni e della superficie di attacco, le soluzioni esistenti implementate in passato (quando la complessità risultava inferiore) si ritrovano a fornire una protezione inadeguata e frammentaria.
- Complessità – Quando un’azienda si trova a dover integrare nuove tecnologie in cloud e/o edge, nuovi servizi e nuovi flussi di lavoro con quelli preesistenti diventa difficile riuscire a mantenere un controllo di sicurezza coerente e al contempo soddisfare gli obiettivi di crescita e di innovazione.
- Aumento del Total Cost of Ownership – Dover gestire una serie di soluzioni frammentarie comporta un aumento dei costi operativi e di manutenzione, il che contribuisce a una gestione inefficiente e può ostacolare la risoluzione degli incidenti.
- Restare al passo – La necessità di cicli di sviluppo rapidi può creare una mancanza di comunicazione e coordinazione tra i diversi team dedicati alla sicurezza, che può finire per ostacolare le pratiche di SecOps e la messa in sicurezza di app e e API.
Espandere l’impronta hardware/software del WAF non è la risposta
Le aziende hanno bisogno di soluzioni di sicurezza per app e API in grado di scalare, di muoversi al ritmo dello sviluppo delle app moderne e di fornire un set completo di controlli di sicurezza che possano essere implementati ovunque.
Cercare di ottenere questo risultato espandendo l’impronta hardware/software del WAF esistente o aumentandola con un patchwork di soluzioni specifiche di più fornitori per coprire tutte le basi della sicurezza di app e API nel tentativo di tenere il passo con l’evoluzione degli attacchi non è necessariamente la risposta.
Per la maggior parte delle imprese, il divario di competenze in materia di Cyber Security continua ad espandersi e limita la loro capacità di implementare e gestire i controlli, rendendole potenzialmente vulnerabili in vari modi. La gestione dei WAF e di altre tecnologie per la sicurezza di app e API richiede competenze specialistiche, familiarità con le tecniche di attacco e conoscenza di piattaforme/tecnologie specifiche, comprese quelle di ciascun provider di servizi cloud-native. Per molte aziende non è possibile assumere competenze dedicate alla sicurezza (o almeno in misura sufficiente) perché i costi sono proibitivi o le risorse troppo difficili da reperire. E senza le competenze necessarie, non è facile implementare una sicurezza efficace delle app e delle API su scala e tenere il passo con i ritmi di sviluppo.
A queste sfide si aggiunge il fatto che i WAF e le altre tecnologie di application e API security possono essere difficili da gestire, da mettere a punto e da mantenere già singolarmente, per non parlare di quando occorre integrarle tra loro. Questo diventa un compito ancora più arduo quando si cerca di scalare per supportare un portafoglio di app in evoluzione, che comprenda app legacy e moderne nonché architetture di app complesse e in espansione, oltre all’implementazione per supportare i requisiti delle app in continua evoluzione.
Le soluzioni di web app e API protection (WAAP) riducono drasticamente le tempistiche di messa in sicurezza delle applicazioni
Mentre le aziende continuano a confrontarsi con queste sfide di sicurezza delle app e gli aggressori evolvono le loro strategie di attacco, in molti si rivolgono a soluzioni di web app e API protection (WAAP). I WAAP offrono un’implementazione e una gestione semplificate dei controlli di sicurezza avanzati delle app, spesso con nuovi strumenti basati sull’intelligenza artificiale e sul machine learning in un unico pacchetto, riducendo drasticamente le tempistiche di messa in sicurezza delle applicazioni. Tipicamente distribuite attraverso un modello Software-as-a-Service (SaaS), le soluzioni WAAP scalano in modo efficiente, riducendo gli oneri di manutenzione e fornendo prestazioni e funzionalità coerenti tra i vari ambienti man mano che le applicazioni si espandono. Scegliendo una soluzione WAAP, le organizzazioni possono godere di prestazioni e funzionalità uniformi ovunque, indipendentemente dalla posizione di un’applicazione, mentre la responsabilità della manutenzione delle firme, del software e dell’hardware (piattaforma) spetta al fornitore della soluzione.
Con l’implementazione di una soluzione WAAP, le imprese possono aspettarsi una maggiore visibilità e controllo centralizzati sugli endpoint delle app distribuite, sui criteri di sicurezza e sulla crescente superficie delle minacce, riducendo i tempi di risoluzione degli incidenti. In genere questo viene fornito tramite una console di controllo SaaS unificata, che consente ai team competenti di collaborare con facilità all’implementazione, al monitoraggio e alla gestione dei servizi e dei criteri negli ambienti di app e API distribuite. Questo controllo centralizzato può snellire le operazioni riducendo il tempo necessario per individuare e risolvere potenziali problemi, migliorando in definitiva l’efficacia complessiva di qualsiasi moderna postura di sicurezza delle app. Adottando una soluzione WAAP completa come F5 Distributed Cloud WAAP, le aziende possono facilmente implementare un sistema di sicurezza integrato per app e API supportato da AI/machine learning per aumentare le implementazioni di sicurezza delle app esistenti. Ciò consente di fornire un framework di sicurezza delle app coerente che può essere esteso ovunque, senza soluzione di continuità, dai data center al cloud, tra i cloud e all’edge.